PHP関数 mb_convert_kana() の罠 ( しゃいん☆のブログ| 名古屋市 Webシステム開発 サーバ構築 ネットワーク構築 株式会社コネクティボ )
半角にしないのはXSS対策か。全角にしないのは対象の特定が半角と同じだからか。
でも大なり小なりを変換したらXSSは可能な場合が多い気がする。
携帯向けにページ全部を半角化するような処理で、全角で書かれたHTMLが半角になってHTMLとして有効になってしまうというのはありそう。
携帯ならJavaScriptが使えなくてXSSとしては成り立たないことが多そうだが。(最近の携帯はそうでもないのか?)
そして、対象外となるのは以下の四つのみということです。
U+0022: " (ダブルクォート)
U+0027: ' (シングルクォート)
U+005C: / (バックスラッシュ)
U+007E: ~ (チルダ)
半角にしないのはXSS対策か。全角にしないのは対象の特定が半角と同じだからか。
でも大なり小なりを変換したらXSSは可能な場合が多い気がする。
携帯向けにページ全部を半角化するような処理で、全角で書かれたHTMLが半角になってHTMLとして有効になってしまうというのはありそう。
携帯ならJavaScriptが使えなくてXSSとしては成り立たないことが多そうだが。(最近の携帯はそうでもないのか?)
投稿
0 件のコメント:
コメントを投稿